Окружение

Astra Linux Special Edition 1.7

Вопрос

При проверке Astra Linux Special Edition 1.7 сканером уязвимостей Trivy были выявлены проблемы безопасности. Будут ли они устранены в следующих релизах операционной системы?

Ответ

На момент написания статьи данное ПО не проходило тестирование в рамках программы поддержки производителей оборудования и программного обеспечения "Ready for Astra Linux".

Корректность совместной работы с OC Astra Linux не гарантируется!

Ситуацию на текущий момент можно уточнить на нашем сайте в разделе Совместимое программное обеспечение.

Базы уязвимостей для Debian 10 лишь частично применимы к Astra Linux Special Edition т. к. не учитывают патчи, наложенные разработчиками для закрытия уязвимостей.

Для проверки на уязвимости необходимо использовать совместимые решения, учитывающие изменения программного кода в конкретной операционной системе, например, "Сканер ВС".

Для оценки критичности уязвимостей рекомендуется использовать калькулятор, размещенный на сайте БДУ ФСТЭК России.

При получении информации о наличии уязвимостей критического (оценка по CVSS — 10) и высокого (оценка по CVSS — 7–9,9) уровней опасности в программном обеспечении, входящем в состав ОС Astra Linux, для ОС Astra Linux Special Edition максимально оперативно разрабатываются методические рекомендации по нейтрализации угроз эксплуатации уязвимостей. Эти рекомендации публикуются в Справочном центре Astra Linux.

Одна и та же уязвимость для разных информационных систем может иметь разную применимость. В связи с этим нельзя сделать однозначный вывод, что большая часть уязвимостей по шкале CVSS с весом менее 7 не представляет угрозы в корпоративной среде. Для этого должна быть проведена оценка угроз безопасности информации. Меры по нейтрализации возможности эксплуатации уязвимостей информационной системы должны быть разработаны с учетом модели угроз и модели нарушителя.